Group-IBの研究者は、近距離無線通信(NFC)技術を悪用して不正なタッチ決済を行うことを目的とした地下マーケットプレイス内で、Androidマルウェアが急速に拡散していることを特定しました。この犯罪エコシステムは主に、Telegramを介して活動する中国語(普通話)話者のシンジケートに起因するとされています。こうした秘密のコミュニティでは、ツールは「CardWallet」や「Remote Pay」といった名称で販売されることが多い一方、英語圏のセキュリティコミュニティでは、この現象を指して「Ghost Tap」という呼称が採用されています。
手口の要は、NFCのやり取りを傍受し「中継(リレー)」することにあります。被害者側では、侵害された決済カードデータを含むスマートフォンまたはデジタルウォレットが関与します。同時に、加害者は別のデバイスを用いて中継された信号を受信し、物理カードが端末にかざされたかのように取引を成立させます。通常、コマンド&コントロール(C2)サーバーが中継の橋渡し役となり、被害者の端末から攻撃者のデバイスへ決済データを送信し、POS(販売時点情報管理)端末での利用を可能にします。公開調査によれば、マルウェア販売者の中には自前のPOS端末まで提供し、顧客に「ターンキー(導入即利用可能)」なインフラを提供している例もあります。
Group-IBによると、被害者はSMSフィッシングやソーシャルエンジニアリングの電話によって、これらの悪意あるアプリをインストールするよう誘導されることが多いといいます。こうした状況では、個人は「必須」のプログラムをダウンロードするよう強要され、実物の銀行カードをスマートフォンにかざすよう促されます。非接触データがC2サーバーへ流出すると、攻撃者—または「運び屋(ミュール)」のネットワーク—が改変された「タップ・トゥ・ペイ」アプリを用いて、実店舗で取引を実行します。
別の手口として、犯罪者は盗まれたカード資格情報を含むモバイルウォレットを事前に読み込んだデバイスを利用します。世界各国の法執行機関の報告では、高額商品をオフラインで入手するために「ミュール」ネットワークへの依存が顕著であることが示されています。ほぼすべてのケースで、このスキームは二つのアプリケーションからなるアーキテクチャに依存しています:
-
Reader:被害者のデバイスにインストールされ、銀行カードと通信するために使用されます。
-
Tapper:攻撃者が操作し、不正取引を実行します。
2024年8月から2025年8月にかけて、NGate、ZNFC、SuperCard X、PhantomCardなど、複数の著名なマルウェアファミリーが出現しました。Group-IBの脅威インテリジェンス・ポータルは、TX-NFCおよびNFU Payも高リスクの亜種として特定しています。
国際当局は大規模な摘発で対応しています。注目すべき事例としては、無断の現金引き出しに関与したチェコ共和国での2024年の逮捕、テキサス銀行協会による「TRACK2 NFC」ツールに関する注意喚起、そして高級小売詐欺でシンガポールにおいて複数の外国人が拘束された件が挙げられます。2025年初頭には、中国・四川の当局が同様の侵害による損失が13,000ドル超に上ることを記録し、またテネシー州警察はギフトカード購入を通じて数万ドルを資金洗浄したとして11人を逮捕しました。
2025年春のVisa「Payment Ecosystem Risk and Control」レポートは、リレー詐欺においてNFCGateベースのマルウェアが継続的に使用されていることをさらに裏付けています。市場は相対的に成熟した段階に達しており、TX-NFC、X-NFC、NFU Payという3つの主要ブランドが支配しています。
TX-NFCは特に注目に値します。2025年1月に開設された同社のTelegramチャンネルは、21,000人超の登録者を集めました。利用料金は段階制で、1日アクセスが45ドルから、3か月ライセンスが1,050ドルまで用意されています。2024年12月に登場したX-NFCは、単一のアプリケーションで「Reader」と「Tapper」の役割を切り替えられる点で差別化されています。2025年4月に現れたNFU Payは、WebSockets経由でデバイス間のデータ送信にMQTTプロトコルを使用します。
TX-NFCの技術分析では、難読化のために360 Jiaguパッカーが使用されていることが明らかになりました。このアプリは、データを中継するためのWebSocket接続を確立する前に、アプリケーション識別子(AID)を抽出するためのAPDUコマンド 2PAY.SYS.DDF01 を開始します。NFU Payは、永続性の維持とデータ同期のために、FOREGROUND_SERVICE_DATA_SYNC や USE_EXACT_ALARM を含む広範な権限を利用します。
Group-IBがベンダーに潜入して得た情報によれば、PhantomCardはNFU Payの派生である可能性が高く、一方TX-NFCはオープンソースのNFCProxyプロジェクトと顕著な類似性を示しています。さらに、Telegramチャンネル「Oedipus」は、これらのツール向けに調整された世界各地のPOS端末を宣伝するハブとして機能しており、記録によれば特定の端末を通じて10か月間で約355,000ドルが動いたことが示唆されています。
Group-IB Fraud Protectionの統計は、タップ・トゥ・ペイ型マルウェアの検出が継続的に増加していることを示しています。これらの脅威を軽減するため、金融機関には顧客の認知向上、先進的な脅威インテリジェンスの活用、そしてより厳格な「顧客確認(KYC)」プロトコルの実装が求められています。利用者は、見覚えのない連絡に懐疑的であること、サードパーティのアプリ配布元を避けること、そしてカードの不審な動きを確認した場合は直ちに取引銀行へ報告することが注意喚起されています。
翻訳元: https://meterpreter.org/the-ghost-in-the-terminal-how-ghost-tap-malware-hijacks-your-nfc-card/
